全球主机交流论坛

标题: HZ 的禁止访问私有IP真是傻逼 [打印本页]

---

作者: aru    时间: 2023-6-29 20:27
标题: HZ 的禁止访问私有IP真是傻逼
服务器用docker安装了多个容器，然后写了一个脚本用定时任务启动通过网络请求容器的程序的接口
后来不需要就将容器都销毁了，但是定时任务还会执行
结果就是被滥用警告了
HZ就是这样子，你的服务器程序请求多几次私网IP （192.168， 10.x.x.x 等） 就会给你发滥用警告
烦的一比

---

作者: 燕十三丶    时间: 2023-6-29 20:51
可能以为你爆破内网设备
干的人太多了 hz一刀切了

---

作者: falco    时间: 2023-6-29 20:58
你这个请求应该是到他们检测设备了，可能是哪里不对

---

作者: falco    时间: 2023-6-29 21:00
我开的btc和eth节点 docker里 每秒300多请求 也没事

---

作者: aru    时间: 2023-6-29 21:03

falco 发表于 2023-6-29 21:00
我开的btc和eth节点 docker里 每秒300多请求 也没事

请求公有IP一点事情都没有，如果是请求私有IP，我的也就是一个小时内有一两分钟请求，加起来100多次而已
立刻给发警告信了
只有他们家是这样，贼傻逼
其实网上搜索下，案例特别多
只能自己用防火墙禁止
问题我这个业务很正常呀！！
主机访问容器内部的网络肯定是私有IP了

---

作者: WZ-Software    时间: 2023-6-29 21:05
似乎是HZ原来有过大规模内网DDoS攻击，并且内网打可以随意修改包大小，导致HZ痛不欲生，干脆砍了

---

作者: bcdefg    时间: 2023-6-29 21:41


所以你为什么要把你的内网IP包发到公网上？

---

作者: tomcb    时间: 2023-6-29 21:52
没删前有正常通信的时候有警告么？

后来不需要就将容器都销毁了，但是定时任务还会执行
结果就是被滥用警告了

---

作者: aru    时间: 2023-6-30 07:01

tomcb 发表于 2023-6-29 21:52
没删前有正常通信的时候有警告么？

不会有警告
比如说docker的内部网络是172.17.0.0/16
你在机器内部访问其中一个容器IP是 172.17.0.2
这个容器如果开机，那没事
如果这个容器没开机，访问就可能会被发到物理网卡上，访问频繁一些就会被HZ 滥用警告了

@bcdefg


总而言之，就是HZ傻逼

---

作者: kc18    时间: 2023-6-30 07:22
配置好来 是没有邮件发过来的

---

作者: tomcb    时间: 2023-6-30 08:38

aru 发表于 2023-6-30 07:01
不会有警告
比如说docker的内部网络是172.17.0.0/16
你在机器内部访问其中一个容器IP是 172.17.0.2

你自己已经解答了你的问题了，你如果正常使用人家又不管你，容器关了你还对着一个空的IP发数据包，人家才怀疑你。

---

作者: aru    时间: 2023-6-30 08:58

tomcb 发表于 2023-6-30 08:38
你自己已经解答了你的问题了，你如果正常使用人家又不管你，容器关了你还对着一个空的IP发数据包，人家才 ...

???
这不是很正常的行为么？

---

作者: jqbaobao    时间: 2023-6-30 09:26
"正常"

---

作者: heibaihuali    时间: 2023-6-30 09:33
其实讲道理是不正常的，docker确实会有这个问题，因为内网的包怎么会发到公网上去了，目标地址是内网的话应该只在本地
hz确实傻逼，我以前也经常这样，建议你更改docker的网段，不是说不能访问内网嘛，那就随便拿一个公网ip段来作为内网呗，即使因为某些bug发出去了又不是内网，他能咋地

而且不要和hz的滥用杠，那些人纯sb

---

作者: aru    时间: 2023-6-30 09:55

heibaihuali 发表于 2023-6-30 09:33
其实讲道理是不正常的，docker确实会有这个问题，因为内网的包怎么会发到公网上去了，目标地址是内网的话应 ...

会走一下默认路由，这个是完全没法避免的，实际上这个请求在它的网关就被丢弃了
操作系统的行为，唯一能做的就是主动用防火墙屏蔽掉
但是屏蔽也不好搞，检测程序是在主机上跑的呀，屏蔽了就没法真正访问容器了
唯一的办法就是检测程序也在容器内跑，主机上屏蔽对私网IP的访问

至于用公网IP就不可取，他会报另外一个滥用问题，说你IP欺骗

---

作者: txjcv    时间: 2023-6-30 09:57

WZ-Software 发表于 2023-6-29 21:05
似乎是HZ原来有过大规模内网DDoS攻击，并且内网打可以随意修改包大小，导致HZ痛不欲生，干脆砍了 ...

原来如此

---

作者: FreeDog    时间: 2023-6-30 10:01
强制写几条 静态路由应该可以吧？

---

作者: ljm625    时间: 2023-6-30 10:04
你在iptables里把dest私网走公网的网卡 drop了不就行了？
你docker私网又不是那个接口

---

作者: aru    时间: 2023-6-30 10:05

FreeDog 发表于 2023-6-30 10:01
强制写几条 静态路由应该可以吧？

卧槽，我知道原因了
我将docker 服务停了，所以这个子网消失了
然后流量就会跑到公网网卡

---

作者: heibaihuali    时间: 2023-6-30 11:45

aru 发表于 2023-6-30 09:55
会走一下默认路由，这个是完全没法避免的，实际上这个请求在它的网关就被丢弃了
操作系统的行为，唯一能 ...

好像是这么回事，会报ip欺骗，我记得以前是解决了这个问题的
后面好像是通过docker 的host网络模式解决，然后还要屏蔽内网ip，iptables 要加进docker那个链才行

---

欢迎光临 全球主机交流论坛 (https://loc.xiu.ee/)

Powered by Discuz! X3.4